微软修复 Power Platform 漏洞

关键要点

• 微软修复了影响其 Power Platform 的定制连接器的漏洞。
• Tenable CEO Amit Yoran 对微软处理安全事件的方式表达了严厉批评。
• 漏洞可让攻击者访问敏感数据和跨租户应用程序。
• 微软表示漏洞修复过程经过了全面的调查和测试。

微软修复了影响其 Power Platform 的定制连接器的一个漏洞，此前，Tenable 的首席执行官 Amit Yoran对该软件巨头如何处理此安全事件提出了严厉的批评。虽然没有明确证据表明 Yoran的公开指责与微软修复的速度存在直接关联，但在这场安全事件中，事实是无法回避的。

Tenable 于 3 月 30 日向微软报告了该漏洞，指出黑客可能借此访问跨租户应用程序以及敏感数据，包括认证密钥。在一份关于该问题的
中，Tenable表示，该漏洞源于对 Azure Function 主机的访问控制不足，而这些主机是用于创建和操作 Power Platform 定制连接器时启动的。

“某些为 Power Platform 创建的连接器利用了定制的 C# 代码来连接和沟通其他服务，”Tenable 说道。“这些 C# 代码以 HTTP
触发器作为 Azure Function 部署。这些 Azure Function 是由微软管理的，而不是客户环境的一部分。”

在上周四的 中，Yoran指责微软“极为不负责任，甚至显得明显疏忽”，因为修复漏洞花费超过四个月的时间。他表示：“我们知道这个问题，微软也知道，希望潜在的攻击者并不知道。”

他进一步指出：“为了让你了解问题的严重性，我们团队很快发现了一家银行的认证密钥。他们对这个问题的严重性和道德性非常担忧，因此我们立即通知了微软。”

在随后的
中，微软安全响应中心表示，该问题现已“针对所有客户得到完全解决，无需客户采取补救措施”。微软称，最初的修复于 6 月 7日发布，以减轻大多数客户的问题，并于 8 月 2 日为所有客户完全解决该问题。

Tenable 在其研究报告中详细列出了与微软之间的沟通时间线，包括在 7 月 10 日告知微软其 6 月 7 日的初步修复措施并不完善。微软表示，在接到
Tenable 关于 7 月 10 日的建议后，后续调查发现仍有“极少数的定制代码处于软删除状态并受到影响”。

“这种软删除状态的存在是为了在客户意外删除定制连接器的情况下实现快速恢复，”该公司表示。

微软在其文章中表示，针对使用定制代码功能的剩余客户可能存在的问题的缓解工作已于 8 月 2 日完成，正好是在 Yoran批评该问题处理方式的声明发表之前。微软还提到，修复安全漏洞涉及了广泛的调查、更新开发和兼容性测试。

“最终，开发安全更新是在修复速度、安全性和质量之间的微妙平衡。过于仓促可能会导致客户在可用性方面的更多干扰，这比客户面临的潜在安全漏洞风险更严重，”其帖子指出。“并不是所有修复都一样，有些可以非常迅速地完成并安全应用，而其他一些则需要更长的时间。”